Hlavní navigace

Google Chrome už není nedobytná pevnost, ukázali hackeři v soutěži Pwn2Own

Petr Kočí

Loni se mu podařilo projít bez újmy, letos se hackeři v soutěži Pwn2Own na bezpečnostní konferenci CanSecWest na prohlížeč Google Chrome od začátku zaměřili. Včera jako první předvedli, jak je možné prolomit jeho důmyslnou obranu. Cílem soutěže je využít bezpečnostních děr ve webových prohlížečích a získat skrze ně plnou kontrolu nad počítačem nebo mobilním zařízením, na němž jsou spuštěny.

Loni se mu podařilo projít bez újmy, letos se hackeři v soutěži Pwn2Own na bezpečnostní konferenci CanSecWest na prohlížeč Google Chrome od začátku zaměřili. Včera jako první předvedli, jak je možné prolomit jeho důmyslnou obranu.

Cílem soutěže je využít bezpečnostních děr ve webových prohlížečích a získat skrze ně plnou kontrolu nad počítačem nebo mobilním zařízením, na němž jsou spuštěny.

Hackerský tým Vupen, který loni jako první úspěšně překonal zabezpečení prohlížeče Safari, se letos zaměřil právě na Google Chrome. Šest týdnů pracovali jeho členové na kódu, který při návštěvě nastraženého webu spustí jedno z rozšíření prohlížeče, kalkulačku, mimo chráněné prostředí sandboxu. Tím demonstrovali ovládnutí celého počítače s aktuální 64 bitovou verzí operačního systému Windows 7.

Vupen už dříve zveřejnil video, ve kterém tvrdil, že se mu podařilo zabezpečení Chrome obelstít. Google to ale popřel s tím, že nešlo o bezpečnostní chybu v samotném prohlížeči, nýbrž v některém z rozšiřujících modulů dodávaných třetími stranami, pravděpodobně v přehrávači Adobe Flash.

Vupen nevysvětlil, jak přesně postupoval při včerejším průniku, jen zdůraznil, že šlo o běžnou verzi prohlížeče bez nainstalovaných doplňků. Vzhledem k tomu, že Flash je součástí základní instalace Google Chrome, mohli ho hackeři využít i tentokrát.

test

Ačkoli tedy padl mýtus o jeho nedobytnosti, Google Chrome je podle člena Vupenu Chaoki Bekrara stále nejbezpečnějším z hlavních prohlížečů. “Sandbox v Google Chrome je nejlépe zabezpečený ze všech. Není jednoduché vytvořit exploit, který veškerá zabezpečení obchází.”

Zdroj: The Verge

Našli jste v článku chybu?